引き続き、『Kubernetes Certified Administrator (CKA) with Practice Tests』を進めていく。
今回は Section 10: Design and Install a Kubernetes Cluster と Section 11: Install "Kubernetes the kubeadm way"。

Section 10: Design and Install a Kubernetes Cluster

• Design a Kubernetes Cluster
  • どういうクラスタを作るのか
  • 目的: 勉強用？開発用？本番用？
    • 勉強用なら minikube とか、小さめのクラスタをクラウドで作るとか
    • 開発用なら 1-Master, n-Worker
    • 本番用だと HA 構成がいるよね（multi-master nodeとか）
  • プラットフォーム: クラウド？オンプレ？
    • オンプレなら kubeadm
    • GCP なら GKE, AWS なら Kops, Azure なら AKS
  • ワークロード: どれくらいの規模のアプリケーションが動くのか？アプリケーションの内容は？CPU, メモリの利用は？トラフィックは？
• Choosing Kubernetes Infrastructure
  • クラスタをどこにホストするか
  • 手元のマシンなら minikube とか、kubeadm とか
  • プライベートなサーバにセットアップするなら、OpenShift, VMware Cloud PKS, Vagrant とかで
  • クラウド使うなら GKE, AKS, EKS とか
• Configure High Availability
  • Control plane が 1 台のみで構成されていると、そのマシンが壊れたときに困るので、HA 構成を取ろう
  • HA 構成の Control plane では、複数の Master Node がそれぞれ同じコンポーネントを持つ
  • API Server もそれぞれに居るため、API call を振り分けるため前段に LB を配置することが望ましい（nginx, HA proxy, etc...など）
  • Controller Manager, Scheduler も同様だが、こちらは各 Node で走っていると意図しない Pod の作成などが行われてしまうので、1 つだけ Active にし、他は Standby にする。
    • これは leader-election process によって制御される
    • kube-controller-manager/kube-scheduler の引数に --leader-elect true を指定すると、kube-controller-manager Endpoint のリース取得有無でリーダーが選出される
    • --leader-elect-lease-duration duration: リース期間
    • --leader-elect-renew-deadline duration: リース更新にかかる時間の最大値
    • --leader-elect-retry-period duration: リーダーシップの獲得を試みる間隔
    • https://speakerdeck.com/daikurosawa/leader-election-in-kubernetes-number-k8sjp
  • ETCD
    • ETCD の HA 構成は2種類ある
      • Stacked Topology: Master Node 内に ETCD を構築する
        • pros: Node が少なくすむ、管理が楽
        • cons: Node のトラブル時に etcd も影響を受ける
      • External ETCD Topology: 異なるノードに ETCD を分離して、独立に構築する
        • pros: リスクを低減する
        • cons: セットアップがつらい、Node が増える
        • kube-apiserver が見に行く etcd のエンドポイントは --etcd-servers で指定できる
• ETCD in HA
  • ETCD について
    • 分散型KVS
    • 分散
      • クラスタ構成をとれる
      • いかなるノードへのR/Wでもクラスタ全体での一貫性が保たれる
      • leader election が行われており、Write は常に leader から全ノードに対して行われる
    • leader election - RAFT
      • etcd のリーダー選出は RAFT というアルゴリズムで行われている
      • 最初に各ノードはランダムタイマーをもっていて、最初にタイマーが終わったノードが他のノードにリーダー選出をリクエストする
      • あとは投票みたいな感じでリーダーが選ばれる
    • 書き込まれているデータは過半数優先（過半数に記録されているデータが正）
      • "過半数" なので、クラスタは3-nodes以上で構成することが望ましい（2-nodes以下だとノードが落ちたら終了する）
      • さらに 奇数-nodes が望ましい（クラスタが分断されたときにどこかは必ず生きる）
  • etcdctl
    • etcdctl put <key> <name>
    • etcdctl get <key>
• Important Update: Kubernetes the Hard Way
  • Hard Way もやるといいよ的な話。

Section 11: Install "Kubernetes the kubeadm way"

• Introduction to Deployment with Kubeadm
  • kubeadm での k8s クラスタ構築の概観
  • ステップ
    1. セットアップ対象のマシン/VMを用意する
    2. マシン/VM にコンテナランタイムをインストールする
    3. マシン/VM に kubeadm をインストールする
    4. Master Node を作成する
    5. Pod Network を作成する
    6. Worker Node をクラスタに参加させる
• Deploy with Kubeadm - Provision VMs with Vagrant
  • Vagrant でローカルにクラスタ用のVMを構築する方法について
• Demo - Deployment with Kubeadm
  • やってることは以前 Qiita に書いたことと同様だった。
• Practice Test - Deploy a Kubernetes Cluster using Kubeadm
  • 手順としては以前やった通りだが、1.22 での挙動でちょっと詰まったり、Practice Test 用の環境が 1.22 に即してなかったりでいろいろ詰まった。
  • このへんの Cgroup Driver のミスマッチなど。

Section 12: End to End Tests on a Kubernetes Cluster

この範囲は CKA の範囲から外されたので講座はなし。

引き続き、『Kubernetes Certified Administrator (CKA) with Practice Tests』を進めていく。 今回は Section 7: Security。扱う内容が多岐にわたり、ボリュームも大きいが、セキュリティ周りのトピックは新設された CKS に移動したため、今の CKA だとほとんど関係ない・・・？

Section 7: Security

• Kubernetes Security Primitives
  • k8s のセキュリティの概観について。
  • ノード（ホストするマシン）はパスワード認証でなく 鍵認証であるべき
  • Authentication
    • ID/Password
    • ID/Token
    • 証明書
    • LDAP
    • Service Accounts
  • Authorization
    • RBAC
    • ABAC
    • Node
    • Webhook
  • コンポーネント間の通信は TLS 化されている
  • Network Policies
• Authentication
  • クラスタにアクセスする人: クラスタ管理者、開発者、プログラム（bot）、エンドユーザー、etc...
  • クラスタ管理者と開発者はUser
    • kube-apiserver は API を処理する前に認証を行っている
    • 認証はパスワードファイル、トークンファイル、証明書、3rd party IDaaS
    • パスワードファイル
      • 非推奨
      • csv ファイルで管理されている
      • {password},{username},{user id},{group(optional)} 形式で記載されたファイルを kube-apiserver に読ませる
      • kube-apiserver の引数に --basic-auth-file=/path/to/users.csv と指定する
      • curl -v -k https://master-node:6443/api/v1/pods -u "user1:password123"
    • トークンファイル
      • 非推奨
      • パスワードファイルとほぼ同じ。
      • {token},{username},{user id},{group(optional)} 形式
      • --token-auth-file に指定する。
      • curl -v -k https://master-node:6443/api/v1/pods -H "Authorization: Bearer xxxx"
  • Bot user は ServiceAccount
• TLS
  • TLS Basics
    • 共通鍵暗号、公開鍵暗号、証明書(ルート証明書・サーバー証明書・クライアント証明書)、認証局などについて。
  • TLS in Kubernetes
    • k8s におけるホスト間の通信、ユーザーとkube-apiserver間の通信、そしてコンポーネント同士の通信は暗号化されている
    • これらはサーバ証明書とクライアント証明書によって成り立っている
      • kube-apiserver, etcd cluster, kubelet はサーバ証明書を持っている
      • kubectl を実行するユーザや、kube-apiserver と通信する kube-scheduler, kube-controller-manager, kube-proxy はクライアント証明書を持っている
        • kube-apiserver は etcd cluster, kubelet から見たときにクライアントなので、クライアント証明書も持つ（サーバ証明書と同一になることもある）
    • これらの証明書を発行するための認証局、ルート証明書も必要となる。
  • TLS in Kubernetes - Certificate Creation
    • 証明書を作る方法について。以下のツールがよく利用される。
      • easyrsa
      • openssl(この講座ではこちらを利用する)
      • cfssl(これは hard way で使ったな)
    • 認証局(CA)の作成
      • 認証局の秘密鍵を作成: openssl genrsa -out ca.key 2048
      • 証明書署名要求(CSR)を作成: openssl req -new -key ca.key -subj "/CN=KUBERNETES-CA" -out ca.csr
      • 証明書の発行: openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
    • クライアント証明書の作成(ex. Admin User)
      • 秘密鍵: openssl genrsa -out admin.key 2048
      • CSR: openssl req -new -key admin.key -subj "/CN=kube-admin/O=system:masters" -out admin.csr
      • 発行: openssl x509 -in admin.csr -CA ca.crt -CAkey ca.key -out admin.crt
      • CN(コモンネーム) がユーザーとして扱われ、O(組織) がグループとして扱われる。
        • 各種コンポーネントのクライアント証明書においては、CN, O は指定の値にする必要がある。
        • kubelet の場合は system:node:{nodeName}, kube-controller-manager の場合は system:kube-controller-manager...といった形に。
  • View Certificate Details
    • 証明書の場所は kubeadm で構築したクラスタの場合は static pod のマニフェストに引数として書いてある
    • *.crt ファイルの確認: openssl x509 -in /path/to/certificate.crt -text -noout
    • ログの確認
      • service log: journalctl -u xxx.service -l
      • pod log: kubectl logs xxx
      • kube-apiserver/etcd cluster が落ちている場合は Docker のログを直接: docker logs xxx
• Certificates API
  • ユーザーのクライアント証明書を作成するためのAPIが備わっている
  • クライアント証明書を作成したいユーザは秘密鍵とCSRを作成し、CSR から CertificateSigningRequest リソースを作成する。

apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: foo
spec:
  groups:
  - system:authenticated
  usages:
  - digital signature
  - key encipherment
  - server auth
  request:
    {base64 encoded csr}
  signerName: kubernetes.io/kube-apiserver-client

• KubeConfig
  • クラスタに対してAPIを実行するとき、APIエンドポイントの情報やクライアント証明書の情報が必要となる。curl で叩くときはこれらを指定しているが、kubectl から API を実行するときは kubeconfig ファイルを利用する。
  • デフォルトでは kubectl ~/.kube/config を見に行く。
    • $KUBECONFIG を指定することで $HOME/.kube/config 以外の kubeconfig を読み取り先にできる
  • kubeconfig は Clusters, Users, Contexts からできている。
    • Clusters: クラスタのAPIエンドポイント、CA証明書の情報を持つ
    • Users: ユーザとクライアント証明書の情報を持つ
    • Contexts: Cluster と User の組み合わせ
    • kubectl が利用するコンテキストは current-context フィールドに指定される。
  • kubeconfig の確認: kubectl config view
  • current-context の変更: kubectl config use-context {context name}
• API Groups
  • kubernetes API はいくつかのグループに分かれている
• Authorization
  • クラスタの利用者（管理者、開発者、Botユーザー...）ごとに権限を適切に分けたい
  • 認可方式(Authorization Mode)は以下がある
    • Node Authorization
      • kubelet は Node 上のリソースを管理（どのリソースを作るか、あるリソースがどのような状態か）するため、kube-apiserver にアクセスする。
      • これらの操作は Node Authorizer によって処理される
      • kubelet に指定した証明書では、グループを system:nodes, 名称を system:node:xxx とした。これらの名称を持つユーザは Node Authorizer で認可される。
    • ABAC(Attribute Based Access Control)
      • ABAC では、JSON 形式のポリシーファイルを作成し、許可される操作をユーザ毎に定義する。
      • これはユーザが追加される毎にこのファイルを編集し、かつ kube-apiserver の再起動が必要となる。
      • 不便なので、RBAC を使う。
    • RBAC(Role Based Access Control)
      • RBAC では、ロールを定義し、ユーザにロールを割り当てる。
      • ロールではどの操作が許可されているか定義されている。
    • Webhook
      • 認可を外部に任せる場合は、こちらを利用する。
    • AlwaysAllow
    • AlwaysDeny
      • 上記は認可をせずに全て許可/拒否をするモード。
  • Authorization Mode は、kube-apiserver の引数(--authorization-mode)に指定する。
    • デフォルトは AlwaysAllow
    • カンマ区切りで複数指定することもでき、複数指定した場合は指定した順番に認可が処理される。
• RBAC
  • ロールは Role リソースで作成する。 yaml
    • resourceName フィールドでさらに認可するリソースの名称で絞ることが可能
  • ユーザをロールに紐付けるには、RoleBinding リソースを作成する。
  • Role は namespace-wide なリソースであるため、Role が作成された namespace 内のリソースにのみ認可される。cluster-wide に認可するためには ClusterRole/ClusterRoleBinding を使用する。
  • 自分があるリソースに対する操作が可能か確認するコマンド: kubectl auth can-i {verb} {resource} [--as {user name}]

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: developer
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["list", "get", "create", "update", "delete"]
- apiGroups: [""]
  resources: ["ConfigMap"]
  verbs: ["create"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: devuser-binding
subjects:
- kind: User
  name: dev-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: developer
  apiGroup: rbac.authorization.k8s.io

• Cluster Roles and Cluster Role Bindings
  • Pod, Deployment, Job, Service, Secret, PVC... は namespace-wide。Node, PV, CSR, Namespace, そして ClusterRole, ClusterRoleBinding は cluster-wide なリソース。
  • 各リソースのスコープを確認したい場合は、kubectl api-resources --namespaced=true/false で。
  • Cluster Admin や Storage Admin のロールを作る場合は ClusterRole を作成する。
• Images Securely
  • Pod の実行に使用される Docker イメージについて。
  • image: nginx と指定された場合、docker.io/nginx/nginx から取得される。レジストリのエンドポイントやユーザ名を明示的に指定することで異なるレジストリから取得できる。
  • プライベートレジストリの場合、ログインが必要となる。認証情報は Secret で持つことができ、kubectl create secret docker-registry xxx --docker-server=private-registry.io --docker-username=foo --docker-password=bar --docker-email=foobar@example.com といった形で作成する。
  • これを Pod の imagePullSecrets セクションに指定することで認証を行える。
• Security Contexts
  • これは CKAD のときもやった。
  • runAsUser と capabilities について。
• Network Policies
  • これも CKAD のときにやった。

以上、Section 7: Security。
現在の試験範囲に含まれないトピックが多かったが、いずれも重要な要素なので勉強する意味はある（と言い聞かせないと困るくらいには時間がかかったセクションであった）。

たまには雑記めいたものも書こうと思う。

スノーボードアイテムを一新した

なんだかんだで小学生の頃からスノーボードを続けている。続けているというのは、最低でも年に1回はゲレンデに行っているという意味だ。
続けてはいるものの、5年ほど前から諸事情でウェアやブーツを持っておらず、昨年ようやくウェアを買いそろえた。
板は知人から譲り受けた BURTON の CUSTOM X があったのだが、だいぶ古いものなのでいずれ買い換えようと思っていた。

板とウェアがあり、ブーツだけレンタルするという形を取っていたのだが、これがあまりにも面倒だった。むしろよく昨年・今年と2シーズンもそのような運用を続けたものだ。

というわけで、ブーツ・板・バインディングの3点を一新した。

ところで、"Binding" は個人的にはビンディングと読むタイプなのだが、まあバインディングの方が正しいよなあ*1。

閑話休題。ラインナップは以下の通り。

• 板: OGASAKA CT LIMITED (21-22 Model)
  • 初めての BURTON 以外の板。
  • カービング中心で滑っているので、カービングに特化した板を、ということで相談した結果こちらとなった。
  • LIMITED とあるように、限定生産らしく7月末までの受注らしい。通常のものよりデザインが好みだったのでこちらにした。価格・機能は通常と変わらない。
• バインディング: FLUX XF(21-22 Model)
  • これはせっかく板を一新するので、ということでついでに。
• ブーツ: DEELUXE EMPIRE
  • もともとこれを買いに行ったようなもの。
  • 熱成型のブーツはいいぞ、と聞いていたため、DEELUXE か INTUITION インナーのブーツを買う予定だった。

板に関しては型落ちで安いのがあったら・・・という気持ちで買いに行ったわりに普通に新しく、しかも真剣度合いの高めなアイテムで揃えてしまったため、なんらかの結果を出したくなってきている。
数年以内にバッジテスト1級の取得を目指そうかな。

板はまだ受け取っていないので写真は後日追記する。

ギターを習い始めた

なんだかんだで高校生の頃からギターを（以下略）。
続けてはいるものの、体系的な練習をせずtab譜を見ながら好きな曲を弾いて遊んでいただけだったため、伸び悩んでいた。

バンドを組んでいるわけでもないのでそのままでもよかったのだが、最近周りでギターをはじめる人が増え、彼らの練習する姿を見ていたら上達したいという思いが強くなったので、レッスンに通うこととした。

レッスンは8月から始まる。まずは月2回のペースで受講していく。

qiita.com

というわけで、CKAD を取得したので引き続き CKA の取得へ向けて勉強していく。 CKAD と同様に Mumshad Mannambeth 氏の『Kubernetes Certified Administrator (CKA) with Practice Tests』を利用する。

www.udemy.com

CKAD を取得したので、今回は CKA 特有の項目について勉強を行い、時間をかけすぎてしまった CKAD よりも短期での取得を目指す。

Section 1: Introduction, Section 2: Core Concepts

これらのセクションはセクション 1 が CKA の説明、セクション 2 は CKAD と同様の内容であるので、今回はスキップ。

Section 3: Scheduling

このセクションでは、スケジューリング、つまり Pod などのリソースをどのノードにデプロイするかといった項目について説明される。 いくらかは CKAD で触れたものなので、"Practice Test を行う -> 分からなかったところがあったら説明の動画に戻る" といったステップで行う。 "分からなかったところ" の判定は "公式ドキュメントで説明されている場所が分からない", "公式ドキュメントを見ても分からない" といった場合に限定する。これは実際の試験で公式ドキュメントを参照できることから。

• nodeName
  • もっともプリミティブな指定方法。ノード名を指定することで、そのノードへ Pod をスケジューリングできる。
• Labels and Selectors
  • スケジューリングの観点では主に Deployments や ReplicaSets で登場する。
• Taints and Tolerations
  • Taints が設定されたノードには、Tolerations が指定されていない場合はスケジューリングされない。
• Node Affinity
  • label を用いて、スケジューリングするノードを指定できる
• Resource Requirements and Limits
  • cpu や memory の request, limit について。
  • アプリケーションが使用するメモリよりも少ない memory limit を指定すると OOMKilled が発生する。
• DaemonSets
  • 各ノードに1個 Pod 配置されることが保証されるリソース。
  • kube-proxy やオーバレイネットワークを提供する Pod は DaemonSet で提供される。
  • ほか、Monitoring プロセスが動く Pod などに使用される。
• Static Pods
  • kubelet は単体で Pod を動かすことができる(kubelet が直接管理する Pod)
  • /etc/kubernetes/manifests に Pod のマニフェストファイルを配置すると、Pod が作成される。なお、このパスは kubelet の設定(起動時の --pod-manifest-path または設定ファイルの staticPodPath )で変更できる。
  • kubelet はこのディレクトリを監視していて、ここにマニフェストが配置されれば Pod を動かすし、削除されたら Pod を削除する。
  • この static pod は、主に controlplane のコンポーネントを管理するために利用される。controlplane が controlplane 自身に依存しないよう、kubelet が管理するようにする。
• Multiple Schedulers
  • k8s のスケジューラは基本的に kube-scheduler が使われるが、複数のスケジューラを共存できる
  • kube-scheduler を複数立てることもでき、その名前は --scheduler-name で変更できる
  • 特定のリソースにおいてスケジューラを指定する場合は、spec.schedulerName に指定する

Section 4: Logging and Monitoring

このセクションでは、ロギングとモニタリングについて説明される。 クラスタのコンポーネントのロギング・モニタリング、並びにアプリケーションのロギングとモニタリングについて。

• Monitor Cluster Components
  • k top コマンドについて。k top コマンドはノードや Pod のリソース利用率を確認できるコマンド。
  • 素の k8s では使えず、metrics-server を別途デプロイすることで利用可能となる。
  • 各ノードのリソース利用率を確認する場合は k top node、各 Pod の場合は k top pod。
• Managing Application Logs
  • k logs コマンドについて。
  • 複数のコンテナからなる Pod のログを取る場合は、コンテナの名前を指定する。

セクション4はここまで。かなり短いセクションであった。

次回は Section 5: Application Lifecycle Management に取り組む。 目次を見る感じ結構 CKAD と被っていそうなのでサクッとできるとよい。